基于多智能體網絡入侵檢測系統(tǒng)的架構及匹配算法研究.pdf

1、入侵檢測是系統(tǒng)安全防御體系中繼防火墻之后又一項重要的安全技術，可以在系統(tǒng)入侵的全過程對系統(tǒng)進行實時檢測與監(jiān)控。入侵檢測系統(tǒng)能在入侵危害發(fā)生前，檢測到入侵攻擊，并利用預警與防護系統(tǒng)驅逐入侵攻擊；在入侵攻擊過程中，能及時報警，并將入侵攻擊造成的損失減至最小。在入侵攻擊發(fā)生后，可以收集相關信息，作為入侵特征，加入知識庫內，以避免系統(tǒng)再次受到入侵。但傳統(tǒng)的入侵檢測系統(tǒng)存在嗅探器與控制臺的通信繁重、控制臺失效而導致整個系統(tǒng)的癱瘓和發(fā)現入侵時響應滯

2、后等諸多難以解決的問題。 本文將智能體(Agent)技術應用到入侵檢測系統(tǒng)中，并在此基礎上提出了模式匹配和規(guī)則相結合的思想，主要完成以下內容： (1)搭建了基于多智能體(Multi-Agent)的網絡入侵檢測系統(tǒng)(Net Intrusion Detection System Based Multi-Agent，NIDSMA)的新架構。系統(tǒng)采取Multi-Agent結構，充分利用Agent本身的獨立性與自主性，盡量降低各檢

3、測部件間的相關性，避免了單個中心分析器帶來的單點失效問題。各個數據采集部件、檢測部件都是獨立的單元，不僅實現了數據收集的分散化，而且將入侵檢測和實時響應分散化，提高了系統(tǒng)的健壯性。 (2)構建一種簡單靈活、高效的規(guī)則描述語言，使NIDSMA的檢測引擎能根據規(guī)則所描述的入侵特征迅速識別攻擊事件，并做出相應的動作。 (3)提出了一種改進的多模匹配算法(NPMS)，并通過實驗證明該檢測算法在檢測時間和效率上都比經典多模匹配算法